资源描述
Hillstone安全网关基本部署,成都办事处PS向明旺18683720267mwxiang,日程安排,一、Hillstone产品简介,StoneOS系统简介,功能组件接口、安全域、Vswitch、Vrouter、防火墙策略功能介绍-交换&路由-NAT-防火墙策略控制-QOS-IPS-AD(扛攻击)-VPN-NBC,注意:以上所列出的通用功能在所有硬件平台及版本上均支持,前提是具备相应的license。,报文处理流程,StoneOS系统架构,报文处理流程,StoneOS系统架构,防火墙报文处理流程,接口和安全域绑定关系,报文处理流程,接口和安全域绑定应用案例,报文处理流程,二、准备工作,通过完成此章节课程,您将可以实现:完成设备基本管理搭建基本实验环境,管理接口,用户管理接口类型:CLI:ConsoleTelnetSSHWebUI:HTTPHTTPS,不同管理方式,支持本地与远程两种环境配置方法,可以通过CLI和WebUI两种方式进行配置支持Console、telnet、ssh、http、https管理,图形化管理界面-WebUI,基于浏览器的WebUI管理方式简单灵活,可以完成常用的各种配置。准备工作:安全网关设备的e0/0接口配有默认IP地址192.168.1.1,该接口的各种管理功能均为开启状态。初次使用可以通过该接口管理设备,具体操作为:将管理PC的IP地址设置为与192.168.1.1/24同网段的IP地址,打开PC的Web浏览器,输入http:/192.168.1.1设备默认管理员用户名及密码均为“hillstone”,登陆后,WebUI界面初始页面结构,导航菜单,设备面板的端口连接状态,CPU、内存、会话数等设备运行情况,设备基本信息,包括:序列号、运行时间、软件版本、AV及特征库版本等,搭建基本实验环境,基本配置步骤:配置接口配置默认路由配置允许访问策略,1)配置接口,网络接口编辑,网络接口点击需配置接口右侧编辑按钮,2)配置默认路由,网络路由目的路由新建,3)配置上网策略,防火墙策略点击需配置接口右侧编辑按钮,内部上网是从Trust到untrust的访问,因此创建从内到外的访问策略,防火墙策略点击需配置接口右侧编辑按钮,“源地址”处选择要被限制的IP地址范围,若选择“Any”则会对经过设备的所有地址有效,配置系统管理员,系统管理安全网关设备由系统管理员(Administrator)管理、配置。系统管理员的配置包括创建管理员、配置管理员的特权、配置管理员密码、以及管理员的访问方式。安全网关拥有一个默认管理员“hillstone”,用户可以对管理员“hillstone”进行编辑,但是不能删除该管理员。管理员分为读写执行权限管理员、只读执行权限管理员。,配置系统管理员,系统设备管理基本信息,配置系统管理员,系统设备管理基本信息新建,配置文件管理,系统配置管理员可以导入、导出或者将系统恢复出厂配置当前配置窗口提供对current配置的Web方式查阅,StoneOS升级,通过WebUI升级StoneOS:系统系统软件选择单选按钮。选中复选框。系统将在上载的同时备份当前运行的StoneOS。如不选中该选项,系统将用新上载的StoneOS覆盖当前运行的StoneOS。点击浏览按钮并且选中要上载的StoneOS。点击确定按钮,系统开始上载指定的StoneOS。完成升级后,需要重启安全网关启动新升级的StoneOS。,系统诊断工具(WebUI),系统工具:安全网关提供基本的诊断工具,方便用户可以通过这些工具察看网络和路由是否连通。,三、安全策略,通过完成此章节课程,您将可以:理解安全策略的用途通过安全策略保护网络资源,安全策略基础,安全策略策略是网络安全设备的基本功能。默认情况下,安全设备会拒绝设备上所有安全域之间的信息传输。而策略则通过策略规则(PolicyRule)决定从一个安全域到另一个安全域的哪些流量该被允许,哪些流量该被拒绝。,哪些网络流量可以允许通过?,防火墙的核心功能组件,传输协议+端口,防火墙综合技术原理,策略控制:,会话检测:,对防火墙在不同安全域或安全级别之间的访问配置相应的策略规则后,数据报文入防火墙时防火墙会基于五元组去查询与之匹配的策略规则(每种报文只会匹配一次,如所有的规则都不匹配则匹配默认的策略规则),然后执行规则中定义的相应动作(permit/drop)。,对于已经成功建立的会话,防火墙会为之建立会话表,以记录报文的相关信息(五元组),新的报文进入防火墙之后防火墙会先查询是否有与之相匹配的会话条目,如有则直接按会话状态走fastpath处理,以节约CPU等资源。如不是已经存在的会话,则查询策略规则并安装会话状态表,以便快速处理后续同一会话的其它报文。,地址(Address),地址簿是StoneOS系统中用来储存IP地址范围与其名称的对应关系的数据库。地址簿中的IP地址与名称的对应关系条目被称作地址条目(AddressEntry)。地址条目的IP地址改变时,StoneOS会自动更新引用了该地址条目的模块。,配置地址本(WebUI),对象地址簿新建,地址薄名称,地址薄成员,配置地址本(WebUI),对象地址簿编辑,地址薄成员,服务(Service),服务(Service):具有协议标准的信息流。服务具有一定的特征,例如相应的协议、端口号等。服务组:将一些服务组织到一起便组成了服务组。用户可以直接将服务组应用到安全网关策略中,这样便简化了管理。,系统预定义服务,对象服务簿用户可以查看或修改系统预定义服务,预定义服务只提供对服务超时时间进行修改。,系统预定义服务组,对象服务薄用户可以查看系统预定义服务组,预定义服务组不可修改。,用户自定义服务,除了使用StoneOS提供的预定义服务以外,用户还可以很容易地创建自己的自定义服务。用户自定义服务可包含最多8条服务条目。用户需指定的自定义服务条目的参数包括:名称传输协议TCP或UDP类型服务的源和目标端口号或者ICMP类型服务的type和code值超时时间应用类型,配置自定义服务,对象服务簿自定义服务新建,服务名称,协议,源、目的端口,配置服务组,对象服务簿自定义服务组,配置策略规则(WebUI),防火墙策略,配置策略规则(WebUI),安全策略,检查/移动策略规则,安全策略,小结,在本章中讲述了以下内容:安全策略的用途配置安全策略使用的地址薄配置服务簿和服务组配置安全策略保护网络资源,源NAT目的NATNAT与相关策略,四、网络地址转换,源NAT配置示例,配置SNAT步骤:第一步,配置源NAT规则第二步,配置访问策略,示例环境描述:系统部署模式为路由模式,外网接口为Eth0/4所有用户上网均需NAT成防火墙外网接口IP地址,第一步,配置源NAT规则,创建源NAT规则,将上网流量数据包源接口转换为外网IP。,第二步,配置访问策略,源NAT规则只是定义了网络层面的转换,如需上网,则要添加相应访问策略。,源NAT目的NATNAT与相关策略,议程:网络地址转换,示例一端口映射DNAT(VIP),DMZ安全域有FTP服务器和WEB服务器,IP如下图所示,现有公网IP地址202.1.1.3可用,通过此IP将上述两服务器发布。,第一步,配置地址簿,分别添加202.1.1.3和10.1.2.10、10.1.2.11的地址簿。,47,第二步,配置目的NAT规则,添加端口映射的目的NAT策略,将访问到202.1.1.3的FTP服务的流量转到10.1.2.10的21端口。,第二步,配置目的NAT规则(续),添加端口映射的目的NAT策略,将访问到202.1.1.3的HTTP服务的流量转到10.1.2.11的80端口。,第三步,配置访问策略,上述NAT规则已经定义了网络层面的对应关系,如需开放外网到服务器的访问,需添加相应访问策略,策略目的IP为服务器映射所对应的公网IP,如下图依次添加untrustdmz,目的IP为映射虚IP,服务为FTP和HTTP的策略。,示例二IP映射(MIP),DMZ安全域有FTP服务器和WEB服务器,IP如下图所示,现有公网IP地址202.1.1.4和202.1.1.5可用,通过IP映射将上述两服务器发布。,第一步,配置地址簿,分别添加202.1.1.4、202.1.1.5和10.1.2.10、10.1.2.11的地址簿。,52,第二步,配置目的NAT规则,添加IP映射的目的NAT规则,将访问到202.1.1.4的流量转到10.1.2.10,访问到202.1.1.5的流量转到10.1.2.11。,53,第三步,配置访问策略,上述NAT规则已经定义了网络层面的对应关系,如需开放外网到服务器的访问,需添加相应访问策略,策略目的IP为服务器映射所对应的公网IP,如下图依次添加untrustdmz,目的IP为映射虚IP(202.1.1.4/202.1.1.5)的策略。,54,小结,在本章中讲述了以下内容:NAT的分类源和目的NAT的应用,QoS基本概念IPQoS应用QoS,五、QoS流量管理,为什么需要QoS,大流量时关键应用运行受冲击带宽没有充分利用TCP突发特性不受控制,大流量时关键应用运行受保护带宽充分利用TCP突发特性受到控制,IPQoS,IPQoS功能介绍,基于IP的QoS可以实现保障关键IP/网段的带宽或者限制非关键IP/网段的带宽。IPQoS全局有效。可以实现基于时间表的IPQoS限制。IPQoS可以绑定在出接口和入接口。IPQoS可以实现上下行带宽独立限制。,59,IPQoS示例,用户环境描述:出口带宽50Mbps,外网为E0/1接口内网连接两个网段:172.16.1.0/24和192.168.1.0/24用户需求描述:172.16.1.1-172.16.1.100需限制其下载带宽为500K/IP,如出口带宽空闲时可最高到5M/IP,上传不做限制192.168.1.0/24网段中每IP下载300K,上传整个网段共享10M,60,第二步-指定接口带宽,接口默认带宽为物理最高支持带宽而非ISP承诺带宽,用户需根据实际带宽值指定接口上/下行带宽。,第三步-配置IPQoS策略,限制172.16.1.1-100每IP下载带宽500K,并在出口带宽空闲时允许突破500K/IP限制,每IP最大占用5M带宽。,第三步-配置IPQoS策略(续),限制192.168.1.0/24每IP下载带宽最大300K,上传整个网段最大占用10M带宽。,显示已配置控制策略,添加后策略会在IPQoS列表显示,如多条策略的IP地址范围重叠,请点击策略右侧箭头移动策略位置,从上至下第一条匹配到的策略生效。,应用QoS,应用QoS功能介绍,基于应用的QoS可以实现保障关键应用的带宽或者限制非关键应用的带宽。应用QoS全局有效。可以实现基于时间表的应用QoS限制。应用QoS可以绑定在出接口和入接口。应用QoS可以实现上下行带宽独立限制。,66,应用QoS示例,用户环境描述:出口带宽50Mbps,外网为E0/1接口,内网连接E0/0内网连接两个网段:172.16.1.0/24和192.168.1.0/24用户需求描述:P2P应用需限制其下行带宽为10M,上传最大5MHTTP和SMTP应用下载保障20M,上传保障10M,67,第二步-指定接口带宽,68,接口默认带宽为物理最高支持带宽而非ISP承诺带宽,用户需根据实际带宽值指定接口上/下行带宽。,第三步-开启应用识别,69,防火墙默认不对带*号服务做应用层识别,如需对BT、xunlei等应用做基于应用的QoS控制,需要开启外网安全域的应用识别功能。,第四步-配置应用QoS策略,70,限制P2P应用下行带宽为10M,上传最大5M。,第四步-配置应用QoS策略(续),71,HTTP和SMTP应用上行保障10M。,第四步-配置应用QoS策略(续),72,HTTP和SMTP应用下行保障20M。保证带宽功能为出接口工具,所以对下载流量保证带宽需要配置在内网接口保证上行带宽。,显示已配置控制策略,73,添加后策略会在应用QoS列表显示,如多条策略的应用重叠,请点击策略右侧箭头移动策略位置,从上至下第一条匹配到的策略生效。,小结,在本章中讲述了以下内容:基本QoS概念基于IP-QoS配置基于应用QoS配置,六、报表统计,报表统计功能简介:可统计的数据类型流量、会话、新建会话数速率、攻击速率、病毒个数、入侵次数、URL命中次数、关键字阻断次数和应用阻断次数支持的数据组织方式IP、接口、安全域、攻击类型、应用、病毒、用户、特征ID、URL、URL类别、关键字和阻断类型,统计集功能介绍,StoneOS的统计集功能允许用户查看实时的或者一定统计周期内(5分钟或者24小时)基于不同统计数据类型(如带宽、会话、新建会话数速率、攻击速率和病毒个数)以及数据组织方式(如IP、接口、安全域、攻击类型、应用、病毒和用户)的系统统计信息,并且可以根据不同需求过滤统计信息,从而帮助用户更加详细和精确地了解系统的资源分配及网络安全状态。,76,预定义统计集,启用预定义统计集,系统已经预置常见的统计集供用户选择启用,启用统计集按照右图流程勾选相应统计集并启用即可。,78,查看统计数据,79,启用统计集后,点击统计集名称即可显示实时统计数据。点击查看处的5分钟或24小时可查看该时间范围内的历史曲线。,自定义统计集,新建自定义统计集,81,对于某些特定需求的统计,可以通过自定义统计集实现。,查看自定义统计数据,82,关闭统计功能,关闭预定义统计集,统计集功能需要占用系统大量运算能力,关闭非必要统计集有利于节约系统资源。,84,关闭自定义统计集,85,对于自定义统计集,可以编辑其状态为非活跃暂时关闭统计功能。如果不再需要该统计集,可以直接点击统计集右侧删除。,Q/A,
展开阅读全文